Seguridad

Cybersecurity Awareness Training: Amenazas y Mejores Prácticas

Jose Troconis

Hay una epidemia de amenazas de ciberseguridad!!! Los datos de nadie son seguros!!!
La capacitación en concientización sobre la seguridad de la información es un conocimiento esencial que las empresas no pueden pasar por alto.

Los datos de su empresa están en riesgo. Sus propios empleados pueden ser peones en la próxima amenaza de un hacktivista, criminal altamente calificado. ¿Cómo están equipados?

Desde hace varios años, la mayoría de los ataques digitales intentan explotar el factor humano a través de intentos de phishing y esfuerzos relacionados. De acuerdo con los informes SW Secureworks® 2018 Incident Response Insights , el 42% de los atacantes obtiene acceso a las estafas de suplantación de identidad (phishing) exitosas, lo que refuerza la necesidad de la educación continua de los empleados. Los piratas informáticos y atacantes malintencionados intentan engañar a los usuarios para que les concedan acceso a un recurso digital, mucho antes de que intenten abrirse camino.

En pocas palabras: las personas son el eslabón más débil en las defensas de seguridad informática de cualquier organización. Y es por eso que las personas suelen ser los primeros objetivos de los atacantes que utilizan tácticas y herramientas como el ransomware, el phishing, el malware y la ingeniería social.

En este artículo del proveedor de capacitación en seguridad , KnowBe4 , el autor explica por qué los humanos representan un riesgo aún mayor que las fallas y vulnerabilidades del software. Miles de personas son más fáciles de explotar a escala que encontrar una única vulnerabilidad de software para violar un negocio empresarial . Las personas también son más fáciles de comprometer, especialmente si carecen de la capacitación adecuada en los conceptos básicos de las mejores prácticas de seguridad de la red.

 

¿Por qué la capacitación en concientización sobre seguridad es importante para todas las organizaciones?

Incluso en medio de la reciente serie de robots capaces de abrir puertas y saltar a los techos, las organizaciones confían en las personas como su principal recurso para realizar negocios e interactuar con los clientes. Por supuesto, las tareas simples y repetitivas pueden ser automatizadas. Pero la gente siempre estará detrás de cada tarea automatizada y en el otro extremo de cada llamada telefónica, correo electrónico y sesión de chat. Las personas representan el «factor humano» en el punto de mira de los atacantes. La única defensa contra tales ataques es la educación, o en términos de la industria, «Capacitación de Conciencia de Seguridad», y cae directamente bajo los auspicios de la capacitación en seguridad de la información.

Debido al entorno rápidamente cambiante y a la larga lista de vulnerabilidades, la capacitación en conciencia de seguridad tampoco puede implicar un enfoque de un solo disparo o un programa «configúrelo y olvídelo». Más bien, para garantizar la seguridad de la red de cualquier organización, la capacitación en ciberseguridad debe ser repetitiva, actualizada y constantemente probada.

 

Mejores Prácticas de Capacitación de Concientización sobre Seguridad de la Información

¿Qué es la formación de conciencia de seguridad?

La capacitación en conciencia de seguridad comienza con el reconocimiento de la organización de que sus empleados son el vínculo de seguridad de la información más débil. Por el contrario, también son la primera línea de defensa contra los ataques cibernéticos. La capacitación en conciencia de seguridad brinda a cada empleado un entendimiento fundamental de que existen amenazas cibernéticas inminentes y en curso, que preparan a los empleados de la empresa para los ataques y amenazas cibernéticas comunes.

El entrenamiento de conciencia de seguridad generalmente consiste en entrenamiento repetitivo y pruebas continuas, a veces aleatorias, en las siguientes áreas de explotación. Las amenazas de seguridad de TI más frecuentes (y, por lo tanto, la capacitación en ciberseguridad más actualizada) incluyen:

  • Spam. No limitado al correo electrónico directo, el spam es ahora uno de los principales métodos de ataque a través de las redes sociales. Cuando alguien lo «invita» a conectarse en LinkedIn, por ejemplo, esa invitación puede llegar a su correo electrónico, pero su efectividad está directamente relacionada con su confianza en varios sitios de redes sociales. Los ciberdelincuentes pueden incluso incrustar malware que roba contraseñas de una simple invitación de LinkedIn.
  • El phishing. El phishing es una práctica común en la que los piratas informáticos persiguen a un gran número de usuarios con correos electrónicos que parecen genuinos, pero en realidad tienen la intención de llevar al usuario sin educación a hacer clic en enlaces peligrosos: posiblemente divulgar nombres de usuario, contraseñas, información de identificación personal e incluso información financiera. Phishing es similar a tirar una amplia red llena de cebo y tirar de lo que atrapes.
  • Spear phishing. Mientras que los esquemas de phishing proyectan una red amplia, el phishing con lanza tiene un enfoque altamente específico para atacar a individuos específicos. El ataque de phishing más famoso de la historia reciente fue sobre John Podesta, entonces presidente de la campaña presidencial de Hillary Clinton. Los ataques de phishing dirigidos a personas de alto perfil o personas con acceso a activos digitales valiosos. El correo electrónico generalmente está hecho a mano y utiliza toda la información disponible para hacer que el correo electrónico se lea exactamente como un correo electrónico real de un amigo o colega.
  • Malware. Malware se refiere a cualquier tipo de software diseñado para causar daño a un dispositivo como virus, rootkits, spyware, gusanos y caballos de Troya. Advanced Malware (Malware avanzado) tiene un objetivo y una misión específicos que generalmente están dirigidos a una organización o empresa. En 2017, el programa de malware conocido como WannaCry se extendió por todo el mundo, paralizando a cientos de organizaciones.
  • Ransomware. Al igual que el malware, los atacantes utilizan el ransomware para obtener dinero (o posiblemente otros recursos) de la organización objetivo. En junio de 2017 NotPetya infectó el software de contabilidad prevaleciente en Ucrania. Cifra los archivos en la unidad, solicita $300 en bitcoins, intenta robar credenciales en la memoria e intenta propagarse a través de la red utilizando credenciales o exploits robados.
  • Ingenieria social. Esta práctica es más sencilla de lo que parece. Si has visto la película «Atrápame si puedes» , has presenciado un ejemplo altamente efectivo de ingeniería social. Tripwire evaluó los tipos más comunes de ataques de ingeniería social en 2015, en su esencia, la ingeniería social ocurre cuando una persona engaña a otra para que renuncie al acceso a un recurso. Los ingenieros sociales utilizan una variedad de herramientas y recursos para obtener acceso a recursos específicos, pero el ataque directo uno a uno sigue siendo el mismo.

 

Mejores Prácticas de Capacitación de Conciencia de Seguridad

Los siguientes dos artículos explican las prácticas más importantes para la capacitación de concienciación sobre seguridad en las empresas estadounidenses de hoy.

Wombat Security – Capacitación de Concientización sobre Seguridad: Mejores Prácticas a Considerar
Instituto Infosec: los componentes de un exitoso programa de concienciación sobre seguridad

Los dos artículos se superponen en cierta medida; sin embargo, cada uno ofrece una estrategia única para crear una cultura de seguridad dentro de una organización. Estas buenas prácticas de ciberseguridad incluyen:

  1. Cumpliendo con todas las leyes y regulaciones locales y federales.
  2. Logrando que todos participen: toda la organización, todo o nada.
  3. Estableciendo de una línea de base requerida de evaluación
  4. Creando un sistema de comunicación muy claro sobre el programa.
  5. Haciendo el entrenamiento intrigante y al menos un poco entretenido
  6. Forzando el cumplimiento, revisar y repetir. No «configúralo y olvídalo» o «uno y listo»
  7. Creando una cultura de refuerzo y motivación para la vigilancia y el aprendizaje constantes.

Estos siete puntos se pueden usar como una plantilla o punto de partida para desarrollar el programa de educación de conciencia de seguridad de su organización. Las necesidades individuales de cada organización son únicas; sin embargo, los objetivos de cualquier programa de capacitación en concienciación sobre seguridad suelen ser bastante similares.

 

Las Metas y Objetivos de la Capacitación de Concientización sobre Seguridad

Las razones detrás del desarrollo de su propio programa de conciencia de seguridad para empleados se comprenden mejor en los términos más simples: Seguridad. Si su organización posee o tiene acceso a datos confidenciales, entonces la seguridad de esos datos es fundamental para el éxito y el futuro de su organización. Y debido a que las personas son el objetivo más común de los piratas informáticos, es esencial que los empleados tengan la capacitación adecuada para reconocer las amenazas a la organización. Esa es la razón para crear, crecer y mantener un programa sólido de capacitación en conciencia de seguridad para sus empleados.

Las metas y los objetivos servirán (o deberían) para defender la razón para crear el programa. Es en este punto que sus metas y objetivos para su programa organizacional serán únicos para su organización. El objetivo final debe ser el 100% de conocimiento de cada amenaza que existe en la red informática y de datos electrónicos de su organización. Pero tienes que comenzar en algún lugar, con ese objetivo en mente en todo momento.

Al principio, los objetivos deben ser simples: creación, entrega y evaluación. A lo largo del tiempo, los objetivos trimestrales y anuales del programa se vincularán cada vez más directamente con la frecuencia y la gravedad de los incidentes reales que ocurren dentro de la organización. Los piratas cibernéticos criminales buscan constantemente nuevos métodos para explotar las debilidades de cualquier organización, y su programa de conciencia de seguridad a menudo reaccionará ante la última explotación exitosa dentro de su industria o espacio de mercado.

 

Cómo iniciar un programa de entrenamiento de conciencia de seguridad

Los pasos a continuación pueden servir como una hoja de ruta general para iniciar el programa de capacitación de concienciación de seguridad único de su organización.

  1. Identifique los requisitos de seguridad de su organización según se aplican a los empleados individuales.
  2. Determine la mejor manera de impartir la capacitación, por ejemplo, en persona, video, en línea, e-learning, práctica, etc.
  3. Crea el contenido apropiado para el medio de entrenamiento deseado. Este contenido es el plan de estudios de capacitación, que debe proporcionar un profesional de seguridad respetado dentro de la organización. El material puede abarcar desde carteles de capacitación gratuitos sobre concienciación de la seguridad, software de prueba de phishing de correo electrónico para capacitar y evaluar a los empleados, hasta presentaciones y pruebas de capacitación en persona.
  4. Establezca expectativas para todos los empleados en cuanto a los requisitos, tiempo, entrega, método y resultados esperados.
  5. Programe múltiples sesiones de capacitación de acuerdo con la disponibilidad general de los empleados de la organización, con el entendimiento de que cada empleado tiene diferentes prioridades diarias y que las circunstancias exigentes ocurren en la vida de las personas. Jornadas frecuentes de capacitación para nuevos empleados es una buena idea.
  6. Entregar la capacitación de acuerdo con las expectativas establecidas antes y durante la programación.
  7. Capture comentarios sobre la capacitación de tantos empleados como sea posible.
  8. Realice evaluaciones posteriores a la capacitación de todos los empleados para determinar qué tan efectiva fue la capacitación.
  9. Vuelva a evaluar el medio de entrenamiento y entrenamiento para la efectividad, y adáptese en consecuencia. El entrenamiento de seguridad no es un enfoque de «configúrelo y olvídelo». Tanto el currículum como los empleados deben actualizarse de forma constante y regular.
  10. Correlacionar la implementación de la capacitación con la frecuencia de incidentes relacionados con la seguridad para determinar el impacto práctico en la salud de la seguridad de la organización.

Es importante que los empleados tengan una experiencia positiva para tal requerimiento. De lo contrario, la capacitación se considerará como un mal necesario en lugar de un medio vital para proteger la marca y la salud de la organización.

 

La eficacia y el retorno de la inversión de la formación de conciencia de seguridad

Haga de cuenta que todos los protocolos de seguridad de datos de la organización están abiertos al público porque las personas que tienen acceso directo a los datos no están debidamente capacitados en seguridad de datos. Si sus empleados no saben cómo evaluar los riesgos de seguridad y determinar las trampas potencialmente peligrosas, su empresa podría estar en serios problemas.

Es por eso que es muy difícil predecir o producir un retorno de la inversión confiable en dicha capacitación. Y a menos que la organización tenga los datos reales para respaldar dicha afirmación, sería erróneo suponer que, solo porque la capacitación existe, la organización no puede y no se verá comprometida. A medida que se implementa y evalúa la capacitación en conciencia de seguridad, con el tiempo, es posible establecer una correlación entre la capacitación efectiva y la reducción de incidentes relacionados con la seguridad.

Ivan Dimov, del Instituto Infosec, recopiló estas estadísticas reveladoras sobre la efectividad de la capacitación en concientización sobre seguridad a partir de una variedad de fuentes :

  • El 50% de los usuarios de Internet reciben al menos un correo electrónico de phishing a diario, el 97% de las personas no pueden identificar un correo electrónico de phishing y el 4% de las personas realmente hacen clic.
  • El 42% de los encuestados en una encuesta del «Estado de delitos informáticos de los EE. UU.» Afirmaron que la capacitación sobre concienciación de los nuevos empleados ayudó a disuadir los ataques.
  • El mismo informe indicó que las empresas sin capacitación en conciencia de seguridad para empleados sufrieron pérdidas financieras un 322% más altas debido a la ciberseguridad.

A diferencia del ROI, la efectividad de la capacitación en conciencia de seguridad se puede medir de una manera directa. Use un software de entrenamiento de conciencia de seguridad que proporcione pruebas, como Wombat. Una sesión de capacitación mensual de 15 minutos se puede seguir con un correo electrónico de phishing simulado durante todo el mes. El software de prueba de phishing debe proporcionar informes de rendimiento para que pueda medir las mejoras en el comportamiento de los empleados a medida que avanza la capacitación.

 

Fuente: https://www.secureworks.com/blog/cybersecurity-awareness-training-best-practices

 

 

También te puede gustar

Mejores Prácticas para la Gestión de un SIEM

Jose Troconis

Como conducir un Análisis de Brechas de Seguridad (GAP Analysis)

Jose Troconis
pinpad clinado

3 cosas que debe saber sobre PCI DSS en 2018

Jose Troconis
Translate »